后渗透之 RDP 会话劫持
0x00 前言
系统管理员和用户通常可以通过 RDP(远程桌面)协议登录指定服务器,而攻击者可以通过可以特权提升至 SYSTEM 权限的用户,可以在不知道其他用户登录凭据的情况下,用来劫持其他用户的 RDP 会话。
0x01 利用条件
需要管理员 | 本地组成员 | 攻击 ID |
---|---|---|
是 | Administrators | 不适用 |
0x02 过程
当已经获取了本地管理组的用户权限,可以尝试提到 SYSTEM 权限,并在命令行或者任务管理器查看可用的会话列表:
quser
查看已有的用户会话,可以无需登录凭证劫持任意存在的会话。
通过 tscon 命令,正常切换会话需要输入对应用户的密码。
比如切换到会话 ID 为 2 的用户:
tscon 2 /PASSWORD:xxxxxxxx
在 SYSTEM 权限下切换的话无需密码即可切换。
我们可以指定从直接切到 ID 为 2 的这个会话,并从 larry 这个用户桌面切换:
使用 /dest: 指定当前会话的名称。
tscon 2 /dest:console
可以看到成功来到了 2 的桌面。
0x03 场景
目前在较新版本如 Windows10/2016 等版本均可以劫持,可以设想会有以下几种场景可以尝试这种方法。
1、域内当域管理员登入到当前机器,切换到域管理员账号桌面进而获得域管权限。
2、12/16 等版本无法直接转存内存文件获取用户的密码,但是可以操作存在的用户会话,进而获取用户的权限。
0x04 总结
一些思考:
在内网渗透中,或有奇效,想象一下更多的场景,mark 一下。
0x05 参考
Passwordless RDP Session Hijacking Feature All Windows versions
Lateral Movement